ShinyHunters erbeutet Daten bei Canvas-Anbieter Instructure

Zusammenfassung

Das US-amerikanische Bildungstechnologie-Unternehmen Instructure hat bestätigt, dass bei einem Cyberangriff Daten entwendet wurden. Instructure ist vor allem für Canvas bekannt, ein weit verbreitetes Lernmanagementsystem, mit dem Schulen, Universitäten und Organisationen Kursmaterial, Aufgaben und Online-Lehre verwalten. Am Freitag teilte das Unternehmen mit, von einem Sicherheitsvorfall betroffen zu sein, und zog dafür externe Sicherheitsexperten sowie Strafverfolgungsbehörden hinzu. Einen Tag später bestätigte Instructure, dass dabei persönliche Daten von Nutzern offengelegt wurden. Nach bisherigem Stand handelt es sich laut Unternehmen um bestimmte identifizierende Angaben von Nutzern betroffener Einrichtungen — Namen, E-Mail-Adressen und Studierenden-Identifikationsnummern — sowie um Nachrichten zwischen Nutzern. Zur Verantwortung bekennt sich die Erpressergruppe ShinyHunters, die Instructure auf ihrer Leak-Seite gelistet hat. Sie behauptet, die Daten über eine inzwischen geschlossene Schwachstelle erbeutet zu haben. BleepingComputer konnte die Angaben der Angreifer nicht unabhängig überprüfen.

Instructure machte den Vorfall am Freitag öffentlich und veröffentlichte am Samstag eine Aktualisierung, wonach persönliche Informationen von Nutzern offengelegt worden seien. In der ergänzten Mitteilung heißt es, die Untersuchung dauere an; bislang deuteten die Hinweise darauf hin, dass es sich um bestimmte identifizierende Angaben von Nutzern betroffener Einrichtungen handle — etwa Namen, E-Mail-Adressen und Studierenden-Identifikationsnummern — sowie um Nachrichten zwischen Nutzern.

Für Passwörter, Geburtsdaten, staatliche Ausweisnummern oder Finanzdaten gebe es bislang keine Anhaltspunkte, dass sie betroffen seien. Sollte sich das ändern, werde man die betroffenen Einrichtungen benachrichtigen, so das Unternehmen.

Als Reaktion hat Instructure nach eigenen Angaben Patches eingespielt, die Überwachung verstärkt und vorsorglich Anwendungsschlüssel ausgetauscht. Kunden müssen den Zugriff auf die API von Instructure erneut autorisieren, damit neue Anwendungsschlüssel ausgestellt werden können.

Auf Fragen von BleepingComputer, wann der Angriff stattfand und ob das Unternehmen erpresst werde, reagierte Instructure nicht. Inzwischen hat die Erpressergruppe ShinyHunters das Unternehmen auf ihrer Leak-Seite aufgeführt.

Dort behaupten die Angreifer, nahezu 9.000 Schulen weltweit seien betroffen und die Daten von 275 Millionen Personen — darunter Studierende, Lehrkräfte und weiteres Personal — seien erbeutet worden. Es seien zudem mehrere Milliarden privater Nachrichten zwischen Lehrenden und Lernenden sowie unter Studierenden betroffen, die persönliche Gespräche und weitere personenbezogene Daten enthielten. Auch die Salesforce-Instanz von Instructure sei kompromittiert worden.

ShinyHunters erklärte, die Daten seien über eine Schwachstelle in den Systemen von Instructure gestohlen worden, die inzwischen geschlossen sei. Der angebliche Datenbestand umfasse mehr als 240 Millionen Datensätze von Studierenden, Lehrkräften und Personal und enthalte Namen, E-Mail-Adressen, belegte Kurse sowie private Nachrichten an Lehrkräfte. Den vom Angreifer geteilten Daten zufolge erstrecke sich der Bestand auf nahezu 15.000 Einrichtungen in mehreren Regionen, darunter Nordamerika, Europa und der Asien-Pazifik-Raum.

BleepingComputer konnte nicht unabhängig bestätigen, welche Schulen oder wie viele Personen tatsächlich betroffen sind, und hat Instructure mit weiteren Fragen zu den Behauptungen der Angreifer kontaktiert.

ShinyHunters erbeutet Daten bei Canvas-Anbieter Instructure

Ähnliche Artikel

Neueste Artikel